鉴于网络安全水平和可信任关系，防火墙将网络划分成一些相对独立的子网，两侧间的通信受到防火墙的检查控制。它可以根据既定的安全策略允许特定的用户和数据包穿过，同时将安全策略不允许的用户和数据包隔断，达到保护高安全等级的子网、阻止墙外黑客的攻击及限制入侵蔓延等目的。然而，防火墙并非万能的，它在很多方面存在弱点，比如无法防止来自防火墙内侧的攻击，而防御各种已识别类型攻击有赖于正确的配置，防御各种最新的攻击类型取决于防火墙知识库更新的速度和相应配置更新的速度等。

    通常，人们将防火墙分为2类: 包过滤和应用级防火墙。包过滤型防火墙检查的范围涉及网络层、传输层和会话层，过滤匹配的原则可以包括源地址、目的地址、传输协议和目的端口等，也可以根据tcp序列号、tcp连接的握手序列（如syn和ack）的逻辑分析等进行判断，能够有效地抵御类似ip spoofing和syn等类型的攻击。路由器通过配置其中的访问控制列表可以作为包过滤防火墙使用，但是过多的控制列表会严重降低路由器的性能。所以在业务量较大的场合，我们需要将路由和包过滤2种功能分开，也就是说有必要单独购买专门防火墙产品。

    应用级防火墙能够检查进出的数据包，透视应用层协议，与既定的安全策略进行比较。该类型防火墙能够进行更加细化、复杂的安全访问控制。根据是否允许两侧通信主机直接建立链路，应用级防火墙又可以分为网关和代理2种。前者允许两侧建立直接连接，而且依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包。后者通过特定的代理程序在两侧主机间复制传递数据，不允许建立直接连接。目前在市场上流行的防火墙大多属于应用级防火墙。

    各种防火墙的安全性能不尽相同，下面我们对一些有代表性的产品进行介绍。

    思科系统(中国)网络技术有限公司(cisco)的secure pix 防火墙能够提供全面的防火墙保护，可建立使用 ipsec 标准的虚拟专网(vpn)连接，并能在内部网和 internet、extranet 或 intranet 链路之间执行安全访问。该产品包括4种型号: secure pix 525(供企业和服务供应商使用) 、secure pix 520(面向大型企业机构和复杂的高端流量环境)、secure pix 515(面向中小型公司和远程办事处部署)和secure pix 506(面向高端小型办公室/家庭办公室机构)。它们易于安装，性能稳定，都拥有内置的ipsec加密，允许站点到站点或远程vpn的部署。除能够由pix configuration manager 管理之外，secure pix 防火墙也可以由 secure policy manager 集中管理，后者能够管理多达500个secure pix 防火墙、部署集成化软件和安装站点到站点的vpn。

    netscreen公司的硬件防火墙具有独特的asic设计及获得专利的系统体系结构，其4种模式配置适用于现存的网络结构。netscreen防火墙具有存取控制和拒绝攻击等功能，前者可指定ip地址，进行用户认证控制; 后者可检测syn攻击、tear drop攻击、ping of death攻击、ip spoofing攻击、默认数据包拒绝、过滤源路由ip和动态过滤访问等，支持web、radius和secureid用户认证。此外，它还具有网络地址转换、网络隔离、负载平衡、vpn和流量控制及实时监控等特性。

    nai的防火墙产品分软件和硬件2种。软件防火墙为gautnlet，其动态自适应网关代理具有用户透明、集成管理、高强度加密和高吞吐量等特点，可以检查进入网络的文件、消息和web内容，防止java和active x等小型应用程序攻击网络，提供vpn支持和基于标准的x.509认证支持。nai硬件防火墙e-ppliance,是集安全防火墙、vpn和网关防病毒为一体的即插即用硬件防火墙，提供多达6个网络端口，并支持硬件加密和备份等。

    清华紫光网联科技有限公司的防火墙产品有2款，unisecure uf3102和unisecure uf3500，它结合包过滤和应用级代理服务器功能，具有流量控制和网络管理等特性。具体来讲，它们可绑定ip/mac地址，防止内部ip欺骗，支持ip映射和端口转移，可进行攻击检测和实时报警，采用静态路由表，支持多个子网，具有基于内建数据库的用户认证，支持pptp和ipsec等。
    清华得实网络安全技术有限公司自主开发的netst防火墙系列产品采用状态检测包过滤技术，可实时在线监测当前内外网络的tcp连接状态，能根据连接状态动态配置规则，阻断异常的连接状态，达到入侵检测和及时报警等目的。另外，netst防火墙可判别主要的攻击方法，既具有包过滤防火墙的高速处理能力，又具有代理式防火墙的安全性，还可以采用终端命令行和远程java控制台2种方式进行配置管理。与此同时，netst还具有在线升级能力，支持基于用户身份的网络访问控制和外部身份认证，具有实时在线监视tcp连接的各种状态能力。

    冠群电脑(中国)有限公司(ca)和冠群金辰公司的防火墙产品etrust firewall(前者提供英文版，后者提供中文版)结合了代理、包过滤和基于用户的访问控制等多项技术，工作在数据包层，可以检查所有通过该防火墙的数据包，及时发现黑客的入侵企图，加强安全保护。etrust firewall可以防范网络攻击，支持像udp这样的“无连接”网络协议，支持基于状态信息的智能过滤，通过采用unicenter安全引擎和管理技术进行用户识别和授权，避免了上下文的交换和数据复制，保证防火墙主机和网络的性能。此外，它还支持网络地址转换技术，易于安装和管理，并具有报警和审计功能，支持日志管理等。

    checkpoint软件公司的防火墙产品firewall-1包括单网关和企业级2种产品，具有存取控制、内容安全、地址转换和路由器管理等功能。单网关产品包含防火墙模块（包含状态检测模块）、管理模块和图形用户界面3种模块，而且防火墙模块和管理模块必须安装在同一台机器上。企业级产品由若干基本模块、可选模块和图形用户界面模块组成，特别是可能配置较多的防火墙模块和独立的状态检测模块。企业级产品的不同模块可以安装在不同的机器上。firewall-1基本模块包括状态检测模块(提供访问控制、客户机认证、会话认证、地址转换和审计功能)、防火墙模块(包含一个状态检测模块，提供用户认证、内容安全和多防火墙同步功能)和管理模块(对一个或多个安全策略提供集中的、图形化的安全管理功能)。可选模块包括连接控制模块、路由器安全管理模块和加密模块等。其中图形用户界面是管理模块功能的体现，它包括策略编辑器、日志查看器和系统状态查看器。

    3com公司的3com officeconnect internet防火墙为中小企业提供了保护网络安全低价而高效的选择，它既能阻止黑客于门外，又可通过虚拟子网控制internet的使用，防止用户对不适当资源的访问，保持网站的访问率，分析连接internet所使用的带宽，并允许整个办公室分享一个单独的、由服务提供商提供ip地址，便于安装与配置。据悉，3com officeconnect internet已通过icsa（全球独立安全服务机构）的认证。

    天融信安全技术公司的防火墙产品有ng fw2000和ng fw3000 2个系列，其中ng fw3000系列防火墙是天融信防火墙产品中优秀的系列。它采用自主版权的专用安全操作系统，保证了防火墙自身的安全性。它具有模块化结构设计，可扩展性好，方便用户定制与升级。它还采用面向对象的管理，支持topsec协议，可与入侵检测等其他安全产品协同工作，支持与vpn的无逢集成，并采用状态检测和应用级透明代理相结合的多级安全机制，可实现网络层和应用层的细粒度控制，吞吐率高达99mbps。同时，它采用嵌入式模块设计和多接口设计，具有多种安全灵活的管理方式，支持web页面实时检测与灾难恢复。

    北京汉邦软科数码公司的网络防火墙zysuperwall也是自主研制开发的网络产品,它融合目前主要的防火墙技术，对关键网络服务提供基于应用代理的控制，对常用网络服务提供代理和快速的包过滤机制等。管理员可根据具体的安全需求选择灵活多变的安全控制策略进行控制，也可结合一些防火墙的具体功能和技术，为企业内部网络提供安全防护手段，抵御来自外部网络的攻击。

    东软软件股份有限公司(原东大阿尔派)最近新推一款neteye3.0，它采用了紧密的3层结构，使用了流过滤技术，在状态包过滤的基础上采用了专门设计的tcp协议栈，将ip数据包转化成数据流，实现对应用协议信息流的过滤，然后再通过tcp协议栈将其转化为ip数据包，再次进行包过滤，从而实现在透明方式下的对应用层协议的控制能力。专为防火墙实现的tcp协议栈抛弃了socket接口，支持大规模并发访问，具有极强的抗攻击能力，可以抵御各种tcp层的扫描。目前，neteye3.0已通过国家权威部门检测，符合

[1] [2] 下一页